科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道移动安全移动设备管理:起航

移动设备管理:起航

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

企业员工使用移动设备办公的比例正在飞速上升,这种现象给企业的生产力和客户服务水平带来了诸多优势,但这种利益也不是没有代价的。

来源:ZDNet安全频道 2013年1月25日

关键字: 移动设备 移动安全 MDM

  • 评论
  • 分享微博
  • 分享邮件

当企业员工将自己的智能手机、平板电脑和其它移动电子设备带入工作环境参与企业业务流程中时,这些移动设备特有的灵活性和自由度使得企业员工可以在任何时间任何地点进行工作,但对企业来说,存储在这些移动设备上的数据也将变得更加难以维护和管控。而移动设备更新换代的趋势是永无止境的,导致企业在进行移动设备管理时也必须尽量处于创新的前沿。

Netcentric Strategies LLC 公司首席分析师Kevin Benedict认为:“企业必须现在就为未来将要出现的各种移动设备的管理工作做好准备,并不是说现在建立的移动设备管理架构能够适应任何移动设备,而是说这个架构应该可以随时插入新的模块来满足未来的设备管理需求。”

不过,要实现这个目标并不容易。其中有一种方法可以让移动设备管理框架实施起来更加容易,或者说是管理上具有一致性,即通过移动设备管理(MDM)策略解决与移动设备相关的问题。

面对移动设备带来的各种挑战,MDM能够帮助企业解决的问题包括:支持哪些类型的移动设备;是否允许员工选择并携带他们的移动设备参与办公;如何处理移动设备的安全问题,比如当移动设备丢失时,是否有能力进行远程数据擦除等。

建立企业MDM策略的小贴士

在如何开始建立MDM策略的问题上,那些已经在企业内部完成或即将完成MDM项目的IT项目负责人给我们提供了以下建议:

· 确定员工将使用什么设备办公,不论是公司统一配发的设备还是员工自己携带的设备。

· 确保上一步所确定的设备都能通过某种技术手段达到企业需求的安全等级。

· 建立和部署高安全性的设备使用策略,并确保这个策略能够顺利传达给员工个人。确保移动设备拥有远程强制擦除数据功能,并确保当设备遭到入侵或多次尝试输入密码时,能够自动发送报警信息到企业IT管理员处。

· 要求强制使用健壮的密码规则,确保员工的密码不会被盗贼或黑客轻易猜出。

· 不论企业是何种行业,检视你所建立的MDM条款是否符合当地的法律法规,以及是否与业务涉及地区或国家的法规政策相抵触。

· 想员工解释,哪些类型的应用是可以被安装到移动设备上的。

· 当实施新的MDM策略时,做好被部分员工挑刺儿的准备。确保通过教育、培训,甚至给予员工奖励等措施来顺利推行MDM策略。

· 别忘了MDM项目永远没有结束的时候,随着员工使用的新设备或新移动技术出现,你都要及时调整MDM策略。

- Todd R. Weiss

关于设备的策略

建立MDM策略的第一步是确定哪些设备将会被员工带入工作场合,以及这些设备是公司配发的还是员工私人拥有的。

Edelman是一家位于纽约的公关公司,该公司的信息安全副总裁John Iatonna告诉我,公司的3800多名员工都在使用黑莓手机,当有特殊工作项目时,才会使用其它移动设备。这些特殊的情况是由业务经理个人决定的,涉及的移动设备包括iPhones或iPads ,但是RIM 的黑莓设备是Edelman公司标准的移动办公设备。

Edelman公司偏爱使用黑莓设备的原因有两条:第一,借由与企业级电话运营商的合作关系,使得公司采购拥有更强的议价能力,同时能够比使用其它设备拥有更强的管控能力和安全水平。Iatonna表示:“跟踪和定位黑莓设备相比于其它智能手机,要更容易。虽然我们也有员工使用苹果和安卓设备,但是这些设备并不是为企业移动办公而设计的。”

Iatonna还说:“黑莓企业服务器(BES)相对于其他智能手机的MDM方案商来说,更加强大和成熟。尽管RIM与其它手机厂商相比,市场份额已经大不如前,但是他的产品和企业级的安全性能仍然是Edelman最佳的选择。”

公关公司 Edelman信息安全副总裁John Iatonna表示,之所以选择黑莓系统,有两个主要原因。第一是通过公司的裙带关系获得更好的采购价格,其次是可以更好的对移动设备进行管理和安全保障。

位于德国的软件厂商SAP AG公司全球CIO Oliver Bussmann表示,他们从2010年开始就在实施移动办公项目。目前SAP公司有14000台苹果iPhone和iPad,另外还有500多员工使用自己的iPhone或iPad,所有这些移动办公用户,根据项目需要,不论在哪个国家工作,都必须签署SAP的使用协议。公司首先使用移动设备的员工是开发部门的员工,之后是执行部门,接下来就是全球的销售团队。

之所以采用这个顺序,Bussman解释说:“我们首先让研发部门开发并在部门内部进行测试,接下来将这套方案交给执行部门使用,最后推广到全球的销售部门和其它部门资源。”

从2012年1月起,SAP将移动设备管理的范围扩展到了新购置的500余部三星Galaxy SII 智能手机和 Galaxy Tab 10.1平板电脑上,这些设备基本都配发给了对此设备有需要的业务人员手中。

Bussmann说:“我们的策略考虑到了设备的未知性,IT部门必须掌握企业策略的方向,如果CIO无法接受移动办公的趋势,那么业务部门的员工在使用移动设备时,将绕过IT部门的管理,这对于企业来说绝对不是好事。”

Carfax公司在移动设备管理方面采用的是一种混合的方式。有些员工使用企业配发的iPhone和iPad,其它员工则使用自己的安卓设备。公司CIO Phil Matthews说:“我们允许其他员工采用BYOD方式工作,这可以让他们工作的更顺利。”

该公司400多外勤员工所使用的设备都是公司配发或租借给员工的。Phil 说:“我们希望员工在使用移动设备时能有一个持续性的使用体验,因此我们为员工配备了iPad和iPhone,当然还有一些员工更偏爱安卓设备”,所以公司也允许这也员工使用自己的安卓设备。以前员工都携带笔记本、打印机和黑莓手机,而现在携带iPad和iPhone似的生产力有所提升,他解释说:“我们的销售代表使用iPad和iPhone更顺手,而且我们提供的移动应用使得这些外勤人员与内勤人员的协作变得比以前更顺畅了。”

Jacobs Engineering Group 公司信息技术高级副总裁Cora Carmody表示,她们公司是从另一个不同的视角来选择移动设备的,即费用管理。由于经济不景气带来的利润降低, Jacobs一直在寻找降低MDM管理成本的方法,直到为45000名员工配备移动设备的成本达到她所预期的低位。

该公司曾经收购过一些小公司,随之加入的新员工所使用的移动设备品牌和型号杂乱。因此企业的IT部门决定从这个问题入手找到更好的MDM方案。

这个问题的答案,按照Jacobs的说法叫做“无线剥夺”即企业为员工购买移动设备,但是需要员工自己支付每月的话费账单。Carmody解释说,出差的员工每月都可以获得电话卡补助,另外如果需要,还可以有额外的补助。她说,通过规范移动设备策略,Jacobs公司每年可以节省1500万美元经费。

同时Carmody也承认,在策略实施初期,确实有不少抱怨的声音。但是公司与移动运营商进行了谈判,为员工争取到了更好的服务套餐,因此,由于费用合适,员工的牢骚在一段时间过后就逐渐消失了。

她说:“一开始你肯定会预见到一些抱怨和抵制,但是你也会高兴的看到,很多员工能够意识到,他们只是换了一个不同类型的移动服务套餐而已,并且他们很快就能接受这种状况。”

Jacobs公司通过与移动设备厂商和运营商的协商,获得了满意的折扣金额,使得员工在出差和日常办公中能够顺利的使用企业所规定的移动设备。Carmody补充说:“最开始,员工会带两个移动设备来上班,一个是Jacobs规定办公所使用的设备,另一个是他们个人使用的设备。要使它们合二为一,移动设备需要足够简单易用。”

Jacobs Engineering Group公司高级IT副总裁Cora Carmody表示,Jacobs为员工购买移动设备,但是要求员工自行支付每月的移动数据费用。

确保企业数据安全

Edelman 公司的Iatonna表示,确保数据安全首先需要员工使用足够强壮的密码。这意味着所有智能手机和平板电脑必须使用复杂的密码设置,包括足够的密码位数和数字字母混排方式,以及数据加密。当输入密码错误次数达到一定上限,移动设备会自动复位并删除内部保存的所有数据。不过Iatonna说这种情况还没有发生过。

另外Jacobs公司的Carmody给出了另一条建议:事先跟移动设备使用者确认,他们的设备都能同时满足公司规定的安全级别以及公司的业务需求。她说:“在确保公司数据安全的情况下,员工可以用他们的移动设备做自己想做的事情。这也是BYOD工作方式的一个特点。”

在正常情况下,Jacobs公司允许员工通过个人移动设备随时随地访问企业邮箱,但是企业的关键业务应用只能通过Jacobs公司的接入端口。Carmody解释说:“这使得企业更容易管理数据的安全性,也可以避免员工因为在移动终端上处理大数据出现问题而向IT部门求助的情况出现。当然,我们也采用了严格的网络犯罪预防机制,以避免移动设备被盗或丢失带来的数据泄露问题。最后,我们还有一个快速有效的机制来报告设备被盗或丢失情况,从而能够立即实施针对该设备的数据保护应急措施。”

对于Carfax公司,移动设备在访问企业数据时,需要通过申请特权以及密码的方式。员工只能根据自己的职位权限访问企业一定范围内的数据和应用。Matthews 表示。

远程删除策略

在Jacobs公司,员工必须签署一份协议,同意当自己的手机或其它移动办公设备在丢失或被盗的情况下,企业有权远程删除设备中的全部数据资料,包括员工自己的个人数据,如邮件、照片和游戏等。

Carmody表示,需要远程删除数据的情况仅出现过几次。

她说:“在那种情况下,设备上的全部数据都会被删除。” Jacobs 公司一直在努力教育员工理解企业的安全策略,并接受自己使用的移动设备处于公司安全策略控制范围这个现实。她说:“我们还会教给员工安全备份自己个人数据的方法,以防止设备丢失给员工个人带来的数据损失。”

The 451 Group 分析师 Chris Hazelton 表示,一些MDM工具可以让设备将其中存储的关键业务数据备份到一个特殊的“容器”中。这个容器中的企业数据不能从外部读取出来,只能通过一个强壮的密码外加特殊的访问协议来读取,这使得这些数据更加安全。它还可以使得企业在远程删除移动设备中的数据时,仅删除企业数据,而保留员工自己的照片、联系人和其它个人数据。

Edelman和SAP公司都在使用这种技术。Edelman使用的是AirWatch有选择性的删除企业数据。SAP则使用自己开发的Afaria应用,也可以只删除企业数据,保留个人信息数据。

例举几个MDM 厂商

MDM市场上的厂商名录可以说千变万化,因为各个厂商都在不断推出各种新鲜功能和新鲜的产品,这些都可以让我们管理移动设备的工作更加简单,同时更加安全。

下面例举的几个厂商是在MDM市场上名声比较大的。

· Apperian Mobile Application Management –手机安全应用程序开发。

· Boxtone Enterprise Mobility Management –承诺可以“集中化、自动化的控制所有手机和平板电脑”

· Citrix Receiver –通过企业应用商店,可以从“任何计算设备上”访问企业数据。

· Good Technology -- 包括邮件访问、日程安排、内网应用,以及内部应用商店在内的一个套装。

· Kaseya Mobile Device Management –针对移动设备(手机和平板)的基于策略的管理工具。

· LANdesk Mobility Management –发现和盘点移动设备,支持远程删除设备数据。

· MobileIron –支持多平台移动设备管理。

· Mocana Mobile App Protection (MAP) –具备防病毒和恶意软件攻击能力。

· Novell ZENworks Endpoint Security Management –具有加密和防火墙功能,能够远程禁用设备的存储功能。

· Nukona –目前属于Symantec旗下,产品支持基于Web和手机本地两种管理方式。

· PartnerPedia Secure Mobile App Management –允许企业在移动终端安装和管理应用程序。

- Todd R. Weiss

Edelman公司的Iatonna表示,当员工被允许使用iPhone和iPad办公后,公司IT团队将会面临技术支持方面的挑战。其中的困难之处在于如何教育员工,让员工明白一旦移动设备丢失,公司将会远程删除设备中的全部数据,这也包括他们个人的照片、电子邮件和其它数据。

Iatonna解释说:“你必须确保教育的程度足够深入,以及足够让员工都明白,这样公司才能避免由于删除员工个人信息导致的责任。一般我们会通过这种方式,即如果你希望Edelman公司的数据存储在你的手机里,那么就必须同意公司将MDM软件也安装在你的手机上,并且你需要签署相关协议。”

Edelman的员工最初并不习惯这种级别的控制,他们也不喜欢公司的安全措施强加到他们的个人设备上,他说:“有些员工会说‘这是我的手机,你不能强迫我输入密码并设置五分钟后锁屏之类的功能’。最初公司里很多这样的声音。”

这意味着我们首先要让员工接受他们的手机中存有敏感数据这个事实,他说:“这要在个人隐私和公司数据安全之间取得一个平衡点。目前人们对于手机的安全意识还很淡漠,而黑客、数据盗窃以及其它类型的安全风险此刻正全力瞄准智能手机。人们在使用手机的时候很少会考虑这么多安全问题。”

Matthews 表示,远程删除数据或类似的安全机制也被Carfax采用,而员工之前都被告知,一旦手机丢失,其中保存的全部数据包括个人数据将会被删除。同时,公司还希望在一定程度上给员工使用自己设备的自由。

比如Carfax允许员工将移动设备用于与工作无关的活动,比如上下班路上看视频。Matthews说:“员工们都会将移动设备用于正常用途,他们不会滥用公司给的权利来做有风险的事情。你只需要告诉员工哪些可以做,哪些是绝对不能用手机做的就可以了。”

变化的目标

SAP的Bussmann表示,在考虑 MDM项目时,最大的一个问题就是时间压力。因为移动设备,比如手机更新速度相当快,市场总会有新产品出现,而MDM项目很难全面覆盖这些新设备。这就需要IT部门提供相当多的技术支持。

SAP的MDM项目早在2010年就启动了,当时员工对于BYOD已经有了相当明显的需求,项目第一批涉及的移动设备达1500台。为了应对这么多的设备,公司决定通过Wikis和在线帮助入口等web2.0方式对用户进行初步的技术帮助。这是一种减少用户对IT团队技术支持需求的方法,可以让用户自己找到自己问题的解决方法。

事实证明这种方法是有效的。Bussmann说:“由于我们只有两三个月的时间来搞定这一千多台设备,所以我们根本不可能依靠传统的方法对他们进行一对一的技术支持。你看苹果手机,很少有很长的设置列表,他们的设计都是很直观的。我们的方法也类似于这样。”

Bussmann承认,最初他们也不确定员工是否会接受这种非传统的帮助系统。他说:“坦率讲,那时我告诉我的团队成员,我也不知道用户会不会接受我们的方案。但是很明显,用户的行为必须发生变化。”

Iatonna说,在 Edelman公司的MDM项目中,最大的挑战之一就是目标设备一直处于变化中。他说:“不可能有一种方案能够应对所有智能手机,因为市场上的智能手机型号和种类太多了。你不可能有足够的资源来处理每一个智能手机型号。”后来他们在AirWatch产品中找到了答案,AirWatch覆盖了市面上绝大多数手机型号,降低了企业在建立MDM项目时处理终端设备的一些风险。

Iatonna说,在选择AirWatch之前,他们也比较过多家的MDM产品,他从中获得的最大体会是,MDM市场还处于相对不成熟的阶段。他说:“现在有大量企业进入这个市场。很多时候,我发现这些企业所宣传的与他们的产品实际能做到的之间,存在着很大的差异。也许从这个角度你能看出手机市场的变化有多快。”

当员工带着他们自己的平板电脑或其他设备来办公时,很重要的一点是企业的策略能够如同预期的一样支持这些设备。但实际上可能用户会带来一个企业无法支持的移动设备。因此很多问题要事先讨论好。总之,按照Iatonna的说法“这个市场目前还是一滩浑水。”

MDM经验教训

Jacobs的Carmody建议,应该在企业业务涉及的所有国家和地区检验企业的 MDM使用策略是否能够顺利实施。她解释说:“如果企业让员工自行购买手机,或让员工支付每月的手机费用,这有可能会影响到事先与员工签订的劳务合同,需要与工会进行协商。”尤其是在欧洲,修改劳务合同会是个很麻烦的事儿。

Carmody的另一条建议是:在策略中规定哪些应用是可以被安装到移动设备上的,员工可以就这些应用遇到的问题向TI部门提出支持请求。

Carmody认为,从大环境讲,MDM策略的部署可以帮助IT部门向云计算迁移。目前得到的教训,尤其是在移动安全方面的教训,将在未来企业向云计算全面迈进时帮助IT部门避免出现更严重的危机,所以MDM项目的经验教训要及时在IT团队中分享。

Matthews表示,对Carfax公司来说,越来越多的员工使用移动设备带来了一个附加的小利益,即很多员工不再使用笔记本电脑和台式机了。他说:“我估计今年会有一些员工告诉我,他们不再需要笔记本电脑了。”这将大大降低公司在办公设备维护和IT维护人员方面的成本。

Matthews 还表示,有一个经验教训是很明显的,即“不要让恐惧成为阻碍”。他说:“如果你不去面对这么多移动设备,你将无法看到它们给企业带来的商机和利益。”

他举例说:“我们开发了一套手机销售和市场应用产品,可以让门店的销售和客户获得更多更及时的信息,包括客户个性化定制的数据。这让我们的分销商能够更有效的管理自身的销售活动,以及维护客户。”

Netcentric分析师 Benedict表示,在项目启动前,要确保企业有长期的策略并且明白自身的需求。他说:“如果连移动管理策略都还没有,就先别考虑实施什么移动技术,这完全是浪费时间和金钱。”

Benedict 表示,要达成MDM项目,首先要考虑到各方面的可能性,他说:“你要去大型的技术会议,浏览各种在线研讨会,阅读书籍,了解各种可能性。不要仅靠自己有限的知识建立公司未来的策略。”

分析师: MDM还可以做得更好

451 Group的Hazelton认为,移动管理应用产品在过去一年中取得了长足进步,但是仍有很多值得改进的地方。

他表示,目前企业最大的需求是管理移动设备并推送邮件,但是企业的眼光都放得更长远,希望通过提供定制化的应用程序和数据给特定人群,实现企业移动环境的安全性和管理便利性。

Hazelton还说,目前看到的企业的另一个需求是建立私有化的应用商店,为企业的移动办公提供分析应用程序和管理工具。他说:“对于MDM的需求是明显的,这已经成为了IT部门的最大压力来源。”但是根据他的调研,美国市场上只有20%到25%的企业拥有针对iOS和安卓设备的管理策略。具备黑莓设备管理策略的公司数量要更多一些,因为RIM的产品在较早时期在企业中的拥有量较大。他说:“这是最令人激动的。企业的各种应用将与手机连接,企业的移动办公将伴随你一生。”

Carfax的 Matthews表示:“我们会告诉员工,MDM可以让他们自己决定如何用手机办公,以及如何用手机处理个人事务。我认为员工很乐意看到这样的结果,因为他们并没有将MDM看做是一种约束,而且他们确实可以用手机做工作以外的其它事情。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章